Polska administracja ma poważnym problem z ochroną danych osobowych. Wiemy o tym „dzięki” incydentowi w prywatnej firmie.
W firmach popularną praktyką jest udostępnianie grupie pracowników dostępu do portalu ZUS PUE. To sporo ułatwia w zarządzaniu rozliczeniami i zwykle nie ma w tym nic złego. Gorzej jeśli uprawnienia są wciąż aktywne po zakończeniu umowy. Wtedy dochodzi do sytuacji, w której osoba z zewnątrz ma dostęp do danych osobowych pracowników i nierzadko także ich rodzin.
Nawet jeśli takie niedopatrzenie miało miejsce, można minimalizować konsekwencje. Firmy mają do tego odpowiednie narzędzia, jak choćby dzienniki dostępu do danych (kto kiedy się logował i jakie dane przeglądał). Informacje tego typu pozwalają ustalić, czy doszło do wycieku danych i jakie procedury należy uruchomić w następnej kolejności.
Tylko że ZUS to nie firma.
Wiemy o tym dzięki historii opisanej na łamach Niebezpiecznika. Firma wykryła incydent ochrony danych pracowników. Osoba, która już tam nie pracowała, przez ponad pół roku miała dostęp do ZUS PUE, a więc do danych innych pracowników. Incydent został wykryty 25 sierpnia 2023, 15 września spółka powiadomiła UODO.
W tym samym czasie zwróciła się do ZUS z prośbą o ustalenie, czy dostęp do PUE umożliwiał przeglądanie lub pobranie danych osobowych innych pracowników i czy do tego doszło.
Odpowiedź z ZUS zaskoczyła. Po pierwsze, spółka czekała na nią aż do grudnia 2023 roku. Po drugie, nie ma możliwości, by odpowiedzieć na zadane pytania. Informacje o tym, jakie dane wyświetla osoba zalogowana do ZUS PUE zwyczajnie nie są zapisywane.
Spółka dostała wykaz logowań pracownika w okresie, w którym obawiała się wycieku danych pracowników. Czy logowanie to dowód na wyciek danych? Ani trochę. ZUS PUE nie odróżnia logowania w sprawie prywatnej od wykonywania działań na mocy upoważnienia. Nie ma czegoś takiego jak „konto pracownika”.
W tym momencie nie ma znaczenia, że incydent wystąpił akurat w spółce BNP Paribas GSC S.A., należącą do tej samej grupy, co znany bank. To mogła być dowolna inna firma, w której doszło do analogicznego niedopatrzenia. Pewnie nie brakuje w Polsce przedsiębiorstw, które „zapomniały” zabrać możliwość logowania się do ZUS PUE pracownikowi po rozwiązaniu umowy.
Najważniejsze jest to, że już wiemy, jak kiepsko ZUS sobie radzi z ochroną naszych danych osobowych. Trzeba też mieć świadomość, że na tej platformie znajdują się dane milionów ubezpieczonych i ich rodzin, wprowadzone przez pracodawców. Można tam znaleźć między innymi adresy i historię zwolnień lekarskich. Nie ma za to szczegółowego dziennika zdarzeń, który zdecydowanie tam być powinien.
Na koniec warto dodać, że spółka zbadała incydent, oceniła ryzyko, wprowadziła odpowiednie procedury zabezpieczające na przyszłość i powiadomiła pracowników o ryzyku. Szczęśliwie nie wykryto żadnych dalszych incydentów, które mogłyby sugerować wyciek danych.
Zakład Ubezpieczeń Społecznych przysłał do redakcji TELEPOLIS.PL komentarz o następującej treści:
Zgodnie z obowiązującymi przepisami uprawnienia do logowania się do PUE-ZUS dla pracownika nadawane są przez pracodawcę. Pracodawca może również cofnąć pełnomocnictwo byłemu pracownikowi wypełniając specjalny formularz. ZUS nie weryfikuje danych o zwolnieniu pracownika. Podkreślenia wymaga, że ZUS jest w stanie ustalić czy osoba loguje się na swoim koncie ubezpieczonego (co może być traktowane jako dostęp w celu prywatnym), a kiedy logowanie następuje na profilu pracodawcy, do którego obsługi posiada pełnomocnictwo (dostęp w celu służbowym). To na pracodawcy jednak ciąży ciężar odwołania pełnomocnictwa i poinformowania o tym ZUS. W sytuacji zaniechania realizacji tego obowiązku przez pracodawcę nie można mówić o wycieku danych z ZUS. Możliwość nieuprawnionego dostępu do danych jest w takim przypadku wyłącznym efektem postępowania pracodawcy. Zakład Ubezpieczeń Społecznych będzie pracował z przedsiębiorcami, aby usprawnić proces administracji PUE-ZUS.
Źródło zdjęć: Kuba Kwiatkowski / Shutterstock
Źródło tekstu: Niebezpiecznik.pl